Kötü CVE girişi: Curl’de olmayan kritik güvenlik açığı
CVE girişleri veya kısaca CVE, güvenlik açıklarıyla sistematik olarak çalışmanın temelini oluşturur. Bu, her bir güvenlik açığına bir sayı ve önem düzeyi verir, böylece herkes neden bahsettiğinizi bilir. Ancak açık kaynaklı proje curl’un geliştiricisinin keşfettiği gibi, buna pek de güvenilemez.
Duyuru
Gizemli CVE-2020-19909
Daniel Stenberg yakın zamanda “kendi” projesinde yıllardır oldukça kritik bir güvenlik açığının mevcut olduğunu ve henüz bir yama bulunmadığını belirten bir e-posta aldı. Ve aslında: MITRE yöneticisi tarafından resmi olarak yayınlanan CVE-2020-19909, CVSS değeri maksimum 10 üzerinden 9,8, yani kritik maksimum olan bir tamsayı taşmasını tanımladı. Ancak bu sorun, curl projesinin güncelleme geçmişinde belirtilmediği için henüz düzeltilmeyecekti.
2020 yılı aslında eski bir soruna işaret ediyor gibi görünüyor. Tamsayı taşmaları sıklıkla kritik sorunlara yol açar. Bilgisayarlar bir değişkenin maksimum boyutuna ulaştıktan sonra baştan başladığından beri: INT_MAX+1 0 değerini döndürür. Sayısal değer örneğin hafıza istemek için kullanılırsa, saldırgan mantıksız derecede büyük sayılar girerek çok az hafızanın ayrılmasını sağlayabilir ve böylece bu amaç için sağlanan arabelleğin arkasındaki hafıza alanlarındaki verilerinin üzerine yazabilir. kapsam. Bu genellikle kötü amaçlı kodun eklenmesine ve yürütülmesine yol açar (Uzaktan Kod Yürütme, RCE). İlk bakışta CVSS sınıflandırması makul görünüyordu. Curl takımı gerçekten bu kadar özensiz miydi?
İkinci bakışta
Stenberg bu eklemeden rahatsızdı çünkü curl konusunda bu kadar kritik bir sorundan habersizdi ve bir geliştirici olarak onurunun elinden alındığını hissediyordu. Kısa açıklamaya dayanarak muhtemelen amaçlanan hatayı bulmayı başardı. Aslında 2019 yılında kodda değere neden olan bir tamsayı taşması hatası vardı. --retry-delay ilgili. Saldırgan, mantıksız derecede büyük değerler belirterek, curl’un haftalar veya aylar yerine birkaç saniye sonra başarısız bir sayfayı getirmeyi yeniden denemesine neden olabilir. Geliştiriciler hatayı oldukça hızlı bir şekilde düzelttiler ancak bunu güvenlikle ilgili olarak sınıflandırmadılar. Anlayabileceğiniz bir karar; her durumda, onunla uzaktan kod yürütmenin nasıl sağlanacağı anlaşılmaz.
Bulmacanın çözümü CVE sisteminin çok sallantılı bir zemine dayanmasıdır. Prensip olarak, herhangi bir kişi veya kuruluş bu tür CVE numaralarını herhangi bir zamanda rezerve edebilir ve daha sonra bunları herhangi bir zamanda kendi bildirdiği bir güvenlik sorununa atayabilir. Kâr amacı gütmeyen kuruluş MITRE, en yüksek idari makam olarak, yalnızca çok temel düzeyde makullük kontrolleri gerçekleştirir ve aksi takdirde, savunucunun sağladığı bilgileri yorum yapmadan kabul eder. CVE sistemi, Çekmeceler için zayıf noktalar: Bir bakışta CVE sistemi başlıklı güvenlik makalesinde daha ayrıntılı olarak açıklanmaktadır. Bu durumda, anonim bir kullanıcı, iddia edilen kritik bir güvenlik açığını belgeleme fırsatını değerlendirdi.
Duyuru
CVE ve CVSS’ye dikkat edin
Bu arada Stenberg, MITRE’ye bu kayıt hakkında şikayette bulundu ve bu artık orada da belgelendi (“TARTIŞILDI”). CVE ile çalışanlar, girişlerin yalnızca tartışılan konuyu doğrulayabilecek benzersiz bir referans görevi gördüğünü unutmamalıdır. Derecelendirmelere güvenemezsiniz ve güvenmemelisiniz; bunun yerine üreticilerin veya bir güvenlik açığı keşfedenlerin uyarılarına başvurmalısınız. İdeal olarak ikisi, örneğin CVSS aracılığıyla ortak bir değerlendirme üzerinde de anlaşabilirler.
(Evet)
Haberin Sonu